Lỗ hổng nghiêm trọng VENOM tồn tại 11 năm nhưng mới chỉ được phát hiện gần đây.
Nhiều người trong chúng ta thường nghĩ máy ảo (Virtual machine - VM) thường an toàn, bởi vì mọi thứ đều được gói trong một "cái hộp" và tách biệt với máy “chủ” vật lý.
Tuy nhiên, một lỗ hổng bảo mật mới do nhà nghiên cứu bảo mật Jason Geffner vừa phát hiện có thể khiến VM không còn an toàn như bạn nghĩ, vì kẻ xấu có thể lợi dụng lỗ hổng này để thoát ra khỏi VM và truy cập vào hệ thống chủ hoặc VM khác chạy trên cùng hệ thống chủ.
Lỗ hổng bảo mật này có tên là VENOM, viết tắt của từ Virtualized Environment Neglected Operations Manipulation, có đối tượng tấn công là mã đĩa mềm ảo mà một số nền tảng ảo hóa sử dụng. Những nền tảng bị ảnh hưởng gồm Xen, KVM, VirtualBox và Qemu. Đáng mừng là VMWare, Microsoft Hyper-V và Bochs không bị ảnh hưởng.
Sau khi thâm nhập được vào máy chủ ảo, VENOM có thể nhiễm hàng loạt VM khác và sau đó truy cập đến mạng của máy chủ, cho phép kẻ xấu truy cập được thông tin đăng nhập, dữ liệu cá nhân và các dữ liệu nhạy cảm khác bên ngoài VM.
VENOM không can thiệp đến mã nguồn của phần mềm ảo hóa, có nghĩa là nó không cần biết hệ điều hành của máy chủ đang chạy là gì, nhưng kẻ tấn công cần phải có được quyền cao nhất (root) trên hệ điều hành của VM.
Mặc dù đến nay chưa có vụ nào nghiêm trọng liên quan đến lỗ hổng VENOM nhưng lỗ hổng này lại gây nhiều âu lo trong giới phát triển phần mềm. Trước đây, các lỗi bảo mật VM thường chỉ phát hiện được trong những cấu hình hệ thống phần mềm ảo hóa không thiết lập theo mặc định, mà những thiết lập này thường không được dùng thực tế. Và những lỗ hổng ấy cũng chỉ liên quan đến một nền tảng ảo hóa mà thôi. Do vậy, VENOM có thể xem là lỗ hổng độc nhất vô nhị cho đến nay, ảnh hưởng nhiều nền tảng và tác động đến cấu hình mặc định của nền tảng đó, cho phép kẻ xấu chạy mã độc trực tiếp từ hệ thống bị xâm nhập.
Và nếu chúng ta nghĩ rằng đích ngắm của VENOM là mã đĩa mềm ảo hóa lỗi thời, là thiết bị đến nay không ai dùng nữa thì chúng ta đã lầm. Nhiều nền tảng ảo hóa hiện nay vẫn mặc định tích hợp ổ mềm ảo, và trong vài trường hợp, thập chí khi đã tắt ổ mềm ảo thì vẫn có 1 lỗi giúp kẻ tấn công bật ổ mềm ảo lên lại. Floppy Disk Controller ảo là module đầu tiên được thêm vào mã nguồn của Qemu hồi năm 2004, có nghĩa là lỗ hổng VENOM đã tồn tại cách nay 11 năm.
Sau khi phát hiện ra lỗi này, Geffner đã thông báo cho những công ty liên quan để đưa ra bản sửa lỗi. CrowdStrike đã chính thức công bố VENOM.
Nếu hệ thống VM của bạn đang chạy gặp lỗ hổng này, bạn cần chắc chắn cập nhật phiên bản phần mềm ảo hóa mới nhất, nhất là khi bạn dùng Xen, KVM hoặc Qemu. Nếu bạn muốn vá hệ thống mà không phải khởi động lại toàn bộ VM thì có thể đến trang www.venomfix.com để tham khảo.
Bạn cũng có thể tìm thấy danh sách các nhà phát triển nền tảng ảo hóa tung ra bản cập nhật để vá VENOM tại venom.crowdstrike.com.
Oracle mau chóng vá ngay VENOM ngay khi được thông báo. Họ nói khi đưa ra bản vá rằng mã Floppy Disk Controller (FDC) có trong nhiều nền tảng ảo hóa khác nhau, và được sử dụng trong vài sản phẩm của Oracle… Kẻ tấn công có thể gửi mã độc đến FDC và thâm nhập được vào máy chủ. |